Tarjeta Intel SGX. Cada servidor merece su SGX

Permítame recordarle qué son las extensiones Intel Software Guard . Como su nombre lo indica, el punto aquí es la seguridad. La humanidad ha ideado muchos métodos de software para proteger su infraestructura de TI del código malicioso o no autorizado, sin embargo, todos estos métodos tienen sus propias limitaciones fundamentales. Para sortearlos, es necesario que la protección comience en el corazón de la computadora: su procesador y se base en su funcionalidad.

Utilizando este principio, Intel ha desarrollado Intel SGX Extensions, un conjunto de instrucciones de CPU que permiten a las aplicaciones crear enclaves, áreas protegidas en el espacio de direcciones de la aplicación, que aseguran la confidencialidad e integridad incluso en presencia de programas maliciosos con derechos privilegiados.

Esta publicación trata sobre el nuevo Intel SGX basado en hardware para cualquier plataforma de servidor: la tarjeta Intel SGX .

Los principios operativos de los enclaves Intel SGX son los siguientes:

• El acceso a la memoria del enclave para leer y escribir desde fuera del enclave está ausente, independientemente del nivel actual de derechos y el modo operativo de la CPU.
• Los enclaves del nivel de trabajo no están disponibles para la depuración con depuradores de software o hardware. (Puede crear un enclave con un atributo de depuración, en el que el depurador Intel SGX puede ver el contenido del enclave de la misma manera que un depurador estándar. Esto se hace para aumentar la conveniencia del proceso de desarrollo de software).
• Es imposible ingresar a un entorno de enclave utilizando llamadas a funciones clásicas, transiciones, manipulaciones de registros o con la pila. La única forma de invocar la función enclave es con una nueva instrucción que realiza varias comprobaciones de seguridad.
• La memoria del enclave está protegida mediante algoritmos de cifrado estándar con protección de reproducción. Si lee la memoria o conecta los módulos de memoria a otro sistema, solo puede obtener datos cifrados.
• La clave de cifrado de memoria se cambia aleatoriamente con cada cambio en el ciclo de alimentación (por ejemplo, al cargar, al reanudar el trabajo después de dormir e hibernar). La clave se almacena dentro de la CPU y no es accesible desde el exterior.
• Los datos están encerrados en enclaves y solo están disponibles para el código de ese enclave.

Intel SGX reduce significativamente la vulnerabilidad del software perimetral

La solución Intel Software Guard Extensions se introdujo en 2016, desde entonces varios procesadores de servidores Intel Xeon han recibido su apoyo, después de lo cual, a su vez, varios de los mayores proveedores de nube y fabricantes de software, como Alibaba Cloud, Baidu, IBM y Microsoft, han estimado las ventajas tecnologías y comenzó a implementarlo en sus servicios y productos. Sin embargo, había un obstáculo técnico para la procesión triunfal de Intel SGX: los procesadores que no admiten la tecnología siguen siendo mucho más que soporte. Intel SGX carece especialmente de configuraciones de múltiples sockets, que a menudo se usan en servicios en la nube y centros de datos.



La decisión vino desde un ángulo inesperado. Intel tiene un dispositivo llamado Intel Visual Compute Accelerator (VCA) , hablamos brevemente al respecto. Este es un acelerador especializado para aumentar el rendimiento del procesamiento de contenido multimedia, de hecho, un servidor completo en el formato de tarjeta PCIe x16, sus características se dan en la publicación en el enlace de arriba. Fue VCA lo que decidieron tomar como base, y después de algunas mejoras: deshabilitar el núcleo de gráficos, optimizar las características de seguridad, etc. - Resultó Intel SGX Card, una tarjeta equipada con tres procesadores con soporte para Intel Software Guard Extensions, lista para asumir la interacción con los enclaves SGX; esto ya no es necesario del sistema host.

En esta misma tarjeta, puede descargar la carga que requiere recursos, lo que requiere protección adicional. La plataforma de servidor estándar de 2U basada en Intel Xeon escalable admite hasta 4 tarjetas PCIe x16; Por lo tanto, en un servidor, hasta 12 procesadores pueden trabajar con datos confidenciales. Como se muestra en la figura anterior, la configuración del entorno para las aplicaciones se ha vuelto más cómoda y flexible, tienen áreas de memoria protegidas y simples, núcleos de procesador con y sin soporte SGX, etc.

La tarjeta Intel SGX es una opción para que un proveedor de servicios digitales prepare su infraestructura para las extensiones de Intel Software Guard sin esperar que Intel Xeon escalable venga con soporte para esta tecnología. Quizás sea útil para alguien.